Verschlüsselung Perfomance & Einhängen

[Wollfuchs]

Wie gesagt, das "Einhängen" erschließt sich mir derzeit noch nicht logisch.

einhaengen .. das ist mounten. Als mount kennt man es meist aus anderen Systemen,
das eingedeutschte Einhaengen ist da ... naja korrekt aber nicht verbreitet.

Das Dateisystem, egal ob ext4 oder btrs oder was auch immer, ist das komplette
Dateisystem des gesamten Volumes.

Dieses Volume hat ab "Wurzelverzeichnis" also "\" seine Verzeichnisse. \homes\ oder \tmp\.
Das Volume hat aber auch deine verschluesselten Ordner, die sollen ja auch an ihren "Mountpoint"
oder Anhaengepunkt.

Generell weiss das die NAS auch, es fehlt nur der Key (Schluessel) mit der Du dem System das ok
gibst, das Verzeichnis zu decrypten und es als "les- schreibbares Medium" an den gewuenschten Mountpoint,
also dem Namen in der Struktur, anzuhaengen.

Der Key (passphrase) ist nichts weiter als das Passwort zum entschluesseln des Ordners, das mounten
ist dann quasi nur die Konsequenz, wenn ein Ordner im Dateisystem erstellt/angehaengt wird.

Das ist jetzt bisschen trivialisiert aber die Grundidee ..

Das autmagische anhaengen ist natuerlich nur sinnvoll, wenn man die Keys seperat aufbewahrt und keiner
die "Passphrase" an sich kennen soll / darf / muss.

USB Stick dran, NAS booten, die Ordner werden ueber die Keys authentifiziert und gemounted. Soweit die
Theorie .. ich nutze immer die Passphrase zum manuellen decrypt/mount.

Achso .. decrypt meint hier nicht "das komplette Laufwerk wird entschluesselt, also die Verschluesselung
rueckgaengig gemacht .. sondern nur, dass der Zugriff auf das encryptete Laufwerk gewaehrt wird. Mir
fiel nur kein besserer Begriff ein.

Ein einmal gemountetes Verzeichnis, bleibt bis zum trennen (demount) wie jeder andere Ordner verfuegbar.
Das heisst, nur beim reboot der NAS oder dem bewussten demount des Ordners verschwinden diese fuer
die User.

 

[Jagnix]

ps @ wadenbeißer: super Argument. Gar nicht drangedacht...

Ich bin ja auch ein schlimmer Finger @the other

Wird wohl nichts mit Verschlüsselung..

Das NAS einfach durchlaufen lassen ist keine Option ?

 

[itsmeJAY]

Theoretisch wäre das Durchlaufen eine Option - das würde Sie so oder so. Das Problem ist nur, wenn der Strom ausfällt. Dann könnten die Benutzer im Windows die Ordner nicht mehr finden, bis sie manuell eingehangen werden.

Theoretisch müsste NAS beim resetten doch nicht nur die Nutzerdaten zurücksetzen, sondern genau so die Einstellung, dass der Ordner nicht mehr eingehangen wird - oder nicht? Das müsste doch als Sicherheitsmechanismus eingerichtet wurden sein seitens Synology. Weshalb sonst gibt es die Möglichkeit den Ordner beim Hochfahren einzuhängen wenn es einer "Nicht-Verschlüsselung" gleichsetzt?

 

[itsmeJAY]

Achja.. Zusätzlich zum ersten Problem: Wenn der Strom ausfällt und die NAS neustartet, sobald Strom da ist, kann auch kein Backup mehr über Hyper Backup gemacht werden. Für ein Backup mit Hyper Backup müssen die Ordner nämlich eingehangen sein.

 

[Wollfuchs]

Theoretisch wäre das Durchlaufen eine Option - das würde Sie so oder so. Das Problem ist nur, wenn der Strom ausfällt. Dann könnten die Benutzer im Windows die Ordner nicht mehr finden, bis sie manuell eingehangen werden.

Nope .. nicht ganz.
Beispiel .. ich habe \shares und \NAS aus der DS auf einem Windows PC gemounted. Also als Netzlaufwerke S:\ und N:\ verbunden.
Wenn die NAS nun wegen Stromausfall (witzig, ist gerade 2 Wochen her) neu startet, dann sehen im Windowsrechner halt die Laufwerke
mit diesem x Symbol .. so leicht ausgegraut.

Wenn die NAS dann fertig ist mit booten, gibt es 2 Optionen:

habe ich auto mount UND den USB Stick dran, sind die Laufwerke verfuegbar, in Windows einmal F5 und die Laufwerke sich wieder hybsch.
habe ich auto mount und KEINEN USB Stick dran, dann muss ich die Ordner haendisch einhaengen (passwort eingeben)
habe ich KEIN auto mount .. muss ich halt je Ordner einhaengen waehlen

in jedem Fall muss ich am Windows Rechner eigentlich nie was machen. Laufwerke die nicht verfuegbar sind, sind maximal ein wenig
laestig aber kein Beinbruch .. im Normalfall eines Heimanwenders .

Theoretisch müsste NAS beim resetten doch nicht nur die Nutzerdaten zurücksetzen, sondern genau so die Einstellung, dass der Ordner nicht mehr eingehangen wird - oder nicht? Das müsste doch als Sicherheitsmechanismus eingerichtet wurden sein seitens Synology. Weshalb sonst gibt es die Möglichkeit den Ordner beim Hochfahren einzuhängen wenn es einer "Nicht-Verschlüsselung" gleichsetzt?

Das automagische Einhaengen bedingt doch (IMHO) immer, dass der passende Key dem System zur Verfuegung gestellt wurde.
Also der Stick mit den Keys oder so ..

Automagisch einhaengen UND die Keys nicht getrennt halten .. widerspricht sich aus Sicherheitsaspekten.
Wer schliesst sein Auto ab und laesst die Schluessel stecken, damit er sie griffbereit hat, falls er wegfahren will?

Achja.. Zusätzlich zum ersten Problem: Wenn der Strom ausfällt und die NAS neustartet, sobald Strom da ist, kann auch kein Backup mehr über Hyper Backup gemacht werden. Für ein Backup mit Hyper Backup müssen die Ordner nämlich eingehangen sein.

Ich habe auf der NAS tausende, abertausende Bilder .. fuer mich wichtige Daten.
Was ich auf jeden Fall nciht will (auch wenn es sich nicht um Schweinkram handelt), ist dass jemand sich
Zutritt verschafft (vulgo Einbrecher) und neben der Fake Rolex und den verschwitzten Socken am Ende
auch noch die NAS und Laptops schnappt. Sieht nach Technik aus, kann man verhoekern, also mitnehmen.
Ob die Kacke am Ende in Summe keinen Tausi mehr wert ist .. spielt da erstmal keine Rolle.

Diese NAS mit all meinen Bildern aus zehntausend Jahren Leben, will ich nicht, nie never ever in den Haenden
von irgendeinem Drogensuechtigen Stromgitarrenspieler in einem zwielichtigen Trailerpark wissen.

Der kann das Ding maximal formatieren und neu aufsetzen aber sich nicht an Fotos von Opas Angelausflug
ergoetzen .. der miese Dieb .. der Mistkerl .. Pocken sollen ihm auf der Wurst wachsen ...

 

[itsmeJAY]

Haha, ich verstehe deinen Beitrag denke ich bestens. Die Möglichkeit einen USB Stick dran zu hängen ist zwar gegeben, wäre aber genau so doof wenn er stecken bleibt, weil den würde er (der Einbrecher) entsprechend direkt mitnehmen. Ich habe den Key im Passwortmanager von synology gespeichert. Er hängt den Ordner also automatisch ein, weil der Passwortmanager den Key gespeichert hat.

Ich bin mir jetzt echt unschlüssig wie ich dies umsetzen sollte. Ziel ist: Ich stelle jemanden aus der Famlie (kleiner 1-Mann Betrieb) die NAS hin und da wird entsprechend drauf zugegriffen (um bspw. Angebote abzulegen, usw - aber auch um mit einem Programm direkt in einem Ordner zu arbeiten) . Dies sollte entsprechend natürlich alles verschlüsselt sein. Jetzt sehe ich die Gefahr im Stromausfall, denn wenn der Strom ausfallt und die NAS bootet neu, ist der Mensch vor dem PC wahrscheinlich nicht IT-versiert genug um den Ordner via Oberfläche wieder einzuhängen. Wird er nicht eingehangen, sind auch die Backups futsch. Denn für Hyper Backup muss der verschlüsselte Ordner nunmal eingehangen sein. Und machen wir uns nichts vor: Ein Einbruch kann nie ausgeschlossen werden und ebenso wenig ein Stromausfall. Wie würdet ihr das oben genannte Anliegen denn realisieren in Form von Verschlüsselung?

Wenn das automatische einhängen irgendwie abgesicherte werden könnte, wäre das theoretisch super. Ich steh aufm Schlauch....

Grüße

 

[itsmeJAY]

Ich habe mich nun weiter eingelesen. Einige in diesem Thema schrieben, es würde keinen Sinn machen die Ordner automatisch einzuhängen. Ich hingegen schrieb, dass es durchaus Sinn machen würde und daran würde ich nach meiner Recherche gerne festhalten, denn:

Angenommen jemand entwendet / klaut die NAS

a) Der Benutzer kann weder über ein Netzlaufwerk auf die Daten zugreifen (da kein Benutzername und Passwort bekannt ist)
b) noch kann der Dieb der NAS auf die Oberfläche der DS zugreifen. Denn auch dafür sind die Daten nicht bekannt.

Schließt der Dieb die Festplatten direkt an den PC an, ist der Ordner verschlüsselt.

Ein Benutzer in diesem Thema schrieb - gerechtfertigt -, dass durch ein Reset der NAS der Name und das Passwort zurückgesetzt wird und wenn die Ordner "automatisch eingehangen" werden, man sich eine Verschlüsseln sparen könnte. Ich laß in der Doku gerade aber, dass folgendes bei einem Reset passiert (bitte Punkt 7 beachten) :

Wozu dient die RESET-Taste am Synology-Produkt?

Die Taste RESET hat bei den verschiedenen Modellen eine unterschiedliche Funktion. Bitte lesen Sie die folgende Beschreibung für das jeweilige Synology-Modell.

Bei Modellen mit DSM 2.2-0941 und später
Die RESET-Taste am Synology-Produkt erfüllt folgende Funktionen.

Zurücksetzen des Kontos „admin“ auf den Standardwert.
Port der UI-Verwaltung auf 5000/5001 zurücksetzen.
IP, DNS, Gateway und weitere Netzwerkschnittstellen auf DHCP zurücksetzen.
PPPoE deaktivieren.
Automatische Blockierung deaktivieren.
Firewall-Regeln deaktivieren.
Verschlüsselte Ordner entfernen und Beim Start automatisch anhängen deaktivieren.
High-availability-Cluster entfernen.
Einen Virtual Machine Manager-Cluster entfernen.

Dort lässt sich also erkennen, dass ein Reset die Verschlüsselte Ordner entfernt und zusätzlich das automatische einhängen deaktiviert. Somit wäre es für den potentiellen Dieb durch einen Reset nicht möglich auf die Ordner ohne den entsprechenden Schlüssel zuzugreifen.

Mein Verständnis dafür ist also (bitte korrigieren wenn ich falsch liege) : Automatisch einhängen kann durchaus sinnvoll sein und bedeutet nicht zwangsläufig, dass eine Verschlüsselung sinnlos ist (wie häufig hier im Forum und Thema von verschiedenen Benutzern erwähnt).

Warum sehe ich das so? Wie oben erwähnt kann der Dieb in keinster Weise auf die NAS zugreifen. Wenn resettet wird, sind die verschlüsselten Ordner entfernt und nicht mehr angehängten. Die Frage ist nur, ob der Passwort manager das Entschlüsselungpasswort noch gespeichert hat (das wäre schlecht) und was genau in der Doku mit "Verschlüsselte Ordner werden entfernt" gemeint ist.

Wie steht ihr dazu?

Grüße

 

[Wollfuchs]

Die Frage ist nur, ob der Passwort manager das Entschlüsselungpasswort noch gespeichert hat (das wäre schlecht) und was genau in der Doku mit "Verschlüsselte Ordner werden entfernt" gemeint ist.

Ich wuerde vermuten, da ich es in der Konstellation weder selber getestet habe, noch die wahre Antwort kenne, dass der PW Manager sehr wohl noch die Passwoerter kennt UND das "entfernen" einfach ein unmount ist. Sonst waere das einhaengen deaktivieren ja sinnlos, weil die Ordner ja weg sind.

Es soll ja augenscheinlich verwendet werden, wenn man nicht mehr auf seine Karre drauf kommt, nicht den Inhalt vernichten.

Jetzt sehe ich die Gefahr im Stromausfall, denn wenn der Strom ausfallt und die NAS bootet neu, ist der Mensch vor dem PC wahrscheinlich nicht IT-versiert genug um den Ordner via Oberfläche wieder einzuhängen. Wird er nicht eingehangen, sind auch die Backups futsch. Denn für Hyper Backup muss der verschlüsselte Ordner nunmal eingehangen sein

Futsch ist da gar nichts .. nur vorruebergehend nicht nutzbar.
Wenn der Nutzer es nicht auf die Kette kriegt einen Ordner einzuhaengen, dann ist er auch nciht in der Lage das Backup zu nutzen.
Also rein vom technischen Verstand her.
Macht aber nix .. Weihnachten, die Zeit im Jahr, an dem die Kinder zu Ihren Eltern fahren, um die IT Probleme zu loesen.

Wer sich Gedanken ueber Backups macht, statt ein NAS nur als Datengrab zu verwenden, ist meines Erachtens auf dem besten Weg.
Nut reicht Jacke, Hut und Stock nicht fuer diese Wanderung, man muss schon losmarschieren.
Wenn ich nun mit FlipFlops (aka ohne Verschluesselung) am Watzmann rumturne, muss es ja irgendwann schief gehen.
Also brauche ich ordentliches Schuhwerk (aka Sicherheit).

Dies erreiche ich auf 2 Arten .. am besten kombiniert. Verschluesselung gegen unbefugten Zugriff UND dezentralisierte Backups. Wenn einer die NAS mopst, warum nicht auch die externe Platte der Sicherung.

Mei, der arme Kerl, 50 Meter den Abhang runter, der sieht ja aus wie durch den Fleischwolf ..
Ja .. aber tollte FlipFlops, sind die von DaKine?

Ich habe lange ueberlegt ob ich nicht bei irgendeinem Kind, Enkel, Saufkumpel vom Hausmeister, eine zweite NAS hinstelle .. also als externes Backup. Dann waere alles automagisiert und ich muss nicht mit externen Platten jonglieren. Ist aber dann doch Overkill im Moment aber geiler waere es schon.
Naja, jedenfalls steunde ich dann auch vor der Frage, was machen bei Stromausfall .. Antwort .. Quickconnect oder sonstige Remote Tools.
Wenn Du schon dem Menschen ein NAS hinstellst, wirst Du auch immer der arme Kerl sein, der es repariert.

Waehhh .. Strom weg .. ich komme an keine Daten ran .. Rabaehhh ..
Ja mei, wenn alles wieder von aussen erreichbar ist, per Remotesession drauf, einhaengen, Backupplan ansehen, wann das letzte lief, schauen dass z.B. Hyperbackup (fuer NAS -> ext. HDD) das Ziel wieder erkannt hat und fertig.

 

[itsmeJAY]

Ich wuerde vermuten, da ich es in der Konstellation weder selber getestet habe, noch die wahre Antwort kenne, dass der PW Manager sehr wohl noch die Passwoerter kennt UND das "entfernen" einfach ein unmount ist. Sonst waere das einhaengen deaktivieren ja sinnlos, weil die Ordner ja weg sind.

Es soll ja augenscheinlich verwendet werden, wenn man nicht mehr auf seine Karre drauf kommt, nicht den Inhalt vernichten.

Das ist richtig. Ich stelle mir nur die Frage, was sich Synology bei dem Reset gedacht hat. Wenn Synology bei einem Reset also die Platten aushängt und die Funktion die Platten automatisch einzuhängen deaktiviert, macht es ja wenig Sinn, wenn der Passwort-Manager die Schlüssel noch kennt. Dann kann der Benutzer "admin" nach dem erfolgreichen Reset die Ordner ja einfach wieder einhängen.Theoretisch müsste Synology auch hier den Passwort-Manager leeren, damit die Ordner nur wieder eingehangen werden können wenn der Schlüssel entsprechend neu eingegeben wird.

Ich würde folgende Vorgehensweise erwarten:

• Nach einem Reset werden die Ordner getrennt (ausgehangen)
• Die Funktion "Platten automatisch einhängen" wird deaktiviert
• Der Passwort-Manager wird vollständig geleert

Denn dann ist für den Benutzer (wenn er den Entschlüsselungskey und/oder die Datei nicht hat) unmöglich an die verschlüsselten Daten zu kommen.

Den o.g Sachverhalt habe ich aber nicht getestet. Ich werde dies ggf. heute mal testen, noch ist meine NAS sehr jungfräulich. Bedeutet also, ich kann kaum etwas kaputt machen und ggf. hat Synology ja doch so weit mitgedacht, als das auch der Passwort-Manager entsprechend geleert wird.

Zum Thema Backup habe ich einen Server bei einem Hoster angemietet, dieser ist mit 99,99% Verfügbarkeit nahezu immer online. Dort lasse ich meine Backups über Hyper-Backup drauflaufen (selbstverständlich durch Hyper-Backup verschlüsselt - für den Fall der Fälle). Standardmäßig kommt von außen niemand an den Server. Falls doch, können die mit den Dateien aber nichts anfangen. Google Drive, etc habe ich erstmal ignoriert - aufgrund von Datenschutz. Kundendaten auf irgendwelche Server von Google zu transferieren klingt für mich erst einmal sehr gefährlich wenn es personenbezogene Daten von Kunden sind (Name, Staße, Bank, usw).

Und wenn man es mal so betrachtet und realistisch ist: a) Wer will überhaupt an die Daten? und b) Selbst wenn jemand unbedingt dran will, würde er andere Wege probieren als irgendein "Backupmedium" zu finden, welches für ihn erstmal unbekannt ist. Sollte der Server von jemanden "gehackt" werden, der einfach nach Opfern sucht, wird er spätestens beim verschlüsselten Hyper-Backup das nächste Opfer suchen und gar nicht erst versuchen an Daten zu kommen, wo er nichtmal weiß, was sich hinter verbirgt. Somit denke ich, ist es doch sehr sicher.

Grüße,
JAY

 

[mb01]

[...]
Den o.g Sachverhalt habe ich aber nicht getestet. Ich werde dies ggf. heute mal testen, noch ist meine NAS sehr jungfräulich. Bedeutet also, ich kann kaum etwas kaputt machen und ggf. hat Synology ja doch so weit mitgedacht, als das auch der Passwort-Manager entsprechend geleert wird.
[...]

Wir sind gespannt auf deine Ergebnisse.

Die Frage hatte ich mir nämlich auch schon irgendwann gestellt, aber sie irgendwie wieder verworfen. Bei mir hab ich das Problem nicht so akut, da bei mir eine kleine Diskstation 24/7 durchläuft, die noch dazu an einer USV hängt. Deren verschlüsselten Ordner hänge ich manuell über DSM ein, aber das ist nur sehr selten nötig und zur Not komme ich von extern per VPN drauf, um das zu machen. Die kleine DS sichert per Snapshot Replication gelegentlich auf eine größere DS, die dann noch gelegentlicher per Clientside-verschlüsseltem Hyperbackup auf a) externe USB-Platten und (bald wieder) b) das Nötigste auf eine extern stehende Diskstation sichert. Auf der großen DS zuhause sind auch noch verschlüsselte Ordner, aber an die muss ich nur gelegentlich mal ran, d.h. da reicht mir auch das manuelle Einhängen und die müssen auch nicht mehrmals die Woche gesichert werden.

Ein Trick bzw. Kompromiss in Sachen Sicherheit war - zumindest früher, wahrscheinlich vor Zeiten des Passwortmanagers - wohl noch, die Schlüsseldatei nicht direkt per USB-Stick am Gerät zu haben, sondern irgendwo im heimischen Netzwerk zu verstecken, im einfachsten Fall z.B. in/an der NAS-Funktion der Fritzbox. Ein Einbrecher müsste dann schon fast alles an Netzwerktechnik klauen und bei sich wiederaufbauen, um die automatische Entschlüsselung nutzen zu können ... was nicht sehr wahrscheinlich ist. ?

Letztendlich läuft es wohl immer auf einen Kompromiss aus Sicherheit und Bequemlichkeit hinaus ... und den muss letztendlich jeder für sich selber entscheiden.

Ansonsten: Regelmäßig Backups machen und wenn man Sachen verschlüsselt, dafür zu sorgen, dass man selbst auch in "dementen Momenten" noch irgendwie an Passwort oder Schlüsseldatei kommt und sich nicht komplett aussperrt. Wer kennt das nicht ... ein gut bekanntes Kennwort im Browser gespeichert, man muss es nie mehr eingeben und spätestens bei der Neuinstallation vom System hat man es komplett vergessen.

 

[itsmeJAY]

Wir sind gespannt auf deine Ergebnisse.

Die Frage hatte ich mir nämlich auch schon irgendwann gestellt, aber sie irgendwie wieder verworfen. Bei mir hab ich das Problem nicht so akut, da bei mir eine kleine Diskstation 24/7 durchläuft, die noch dazu an einer USV hängt. Deren verschlüsselten Ordner hänge ich manuell über DSM ein, aber das ist nur sehr selten nötig und zur Not komme ich von extern per VPN drauf, um das zu machen. Die kleine DS sichert per Snapshot Replication gelegentlich auf eine größere DS, die dann noch gelegentlicher per Clientside-verschlüsseltem Hyperbackup auf a) externe USB-Platten und (bald wieder) b) das Nötigste auf eine extern stehende Diskstation sichert. Auf der großen DS zuhause sind auch noch verschlüsselte Ordner, aber an die muss ich nur gelegentlich mal ran, d.h. da reicht mir auch das manuelle Einhängen und die müssen auch nicht mehrmals die Woche gesichert werden.

Ich selbst habe auch eine kleine NAS (DS220j). Die reicht auch erst einmal für meine Zwecke bzw. Anforderungen. Für mich gibt es auch kein Problem mal eben einen Ordner nach Neustart einzuhängen, aber wie bereits erwähnt: Die NAS wird jemand verwenden, der weder von IT - noch von Verschlüsselung oder DSM Kenntnis hat. Somit sollte es idealerweise so sein, dass die NAS 24/7 läuft (das wirds so sein) und wenn sie mal ausfällt (aufgrund von Stromausfall oder jemand zieht den Stecker), dann müsste die beim Boot alles automatisiert erledigen (auch das einhängen der Ordner, damit das Hyper Backup laufen kann und der Benutzer wieder arbeiten kann. Dies ist somit ganz wichtig.). Das wäre super durch den Passwortmanager lösbar! Natürlich vorausgesetzt, dass bei Diebstahl und Reset der Manager geleert wird. Ansonsten bringt das alles nichts.

Halten wir also fest: Wenn der Reset den Passwortmanager leert, kann man (ich) sorglos "Ordner beim Hochfahren anhängen" aktivieren. Ich teste demnächst.

Weiß jemand, wie das Passwort des "admins" nach Reset ist? Oder ist es leer und ich muss den Account neu anlegen?

Grüße

 

[Wollfuchs]

..... dann müsste die beim Boot alles automatisiert erledigen (auch das einhängen der Ordner, damit das Hyper Backup laufen kann und der Benutzer wieder arbeiten kann.

auch wenn ich hier den advocatus diaboli spiele .. damit ist es eigentlich genau nicht getan.
nicht umsonst bauen sich menschen USV an die Karre und nen spoiler und flammendekor.

wenn du es schon automatisierst, dann aber auch inkl. mails mit zustandsberichten und co.

es nuetzt niemandem, wenn alle 3 tage nachts der strom weg war fuer wochen und es keiner
merkte, weil am naechsten tag die fuhre ja "wie immer funktionierte". irgendwann geht da nix
mehr und du weisst erst mal nicht warum. dass sich das schon lange ankuendigte, hat dann
keiner mitbekommen. daher mache ich das lieber manuell und weiss genau, dass was passiert
ist und ich schauen muss, ob das bleibende schaeden davongetragen hat.

nur so als hinweis .. lieber ein vernuenftiges fernwartungskonzept, das es ohne grossen aufwand
erlaubt die fuhre zu pimpen.

spaetestens wenn die gurke still steht und du einen restore vom hoster ziehen musst/willst, waerst
du vermutlich dankbar ueber fruehzeitige warnungen ..

nur mal so als gedankenanstoss.

 

[itsmeJAY]

Zum Thema Backup gibt es sicherlich einiges zu beachten. Danke erst einmal für den Gedankenanstoß.

Wichtiger für mich - auch für das Thema hier - ist die Verschlüsselung ... Ich teste es nachher mal mit dem Passwortmanager und dem Reset.

Dennoch die Frage: Wenn wir sowieso beim Thema sind und etwas Off-Topic, wo kann ich Zustandsberichte denn generieren und per Mail versenden?

 

[Wollfuchs]

Systemsteuerung -> Benachrichtigung .. da erst mal festlegen welcher Maildienst genutzt werden soll (ich habe einen GMail Account verknuepft, das geht am einfachsten und sehr zuverlaessig) und dann eben unter "Erweitert" definieren, fuer was alles Mails rausgehen sollen.

Kann eine Menge Mails sein ... aber das kann man ja sortieren/filtern im Mailprogramm.

 

[itsmeJAY]

So! Ich habe getestet und will euch das Ergebnis nicht vorenthalten. Ich denke dies dürfte für andere ebenfalls interessant sein.

Was habe ich gemacht? (Ausgangssituation)

• Ich habe 2 verschlüsselte Ordner erstellt
• Die Entschlüsselungskeys habe ich im Passwort-Manager gespeichert
• Ich habe die Funktion "Beim Hochfahren automatisch anhängen" aktiviert

Nachdem ich die NAS neugestartet habe, wurden die verschlüsselten Ordner angehangen.

Angenommen ein Dieb hätte die NAS nun entwendet durch Einbruch o.Ä: Dann hätte er nur 1 Möglichkeit um an die Daten zu kommen: Er müsste die NAS bei sich zu Hause (oder woanders) anschließen, hochfahren und Benutzername + Passwort kennen um auf die Ordner zuzugreifen. Wählt man hier also einen sicheren Benutzername sowie Passwort, wird dies schwer für den Dieb.

Wenn der Dieb die NAS nun zurücksetzt und sich als Admin einloggt, ist folgendes Szenario (getestet) gegeben: Die verschlüsselten Ordner existieren weiterhin, allerdings sind diese nicht mehr angehangen. Mit dem Reset der NAS wurde die Option "Beim Hochfahren automatisch anhängen" deaktiviert. Ebenso ist der Passwort-Manager komplett leer. Die einzige Möglichkeit an die Daten der verschlüsselten Ordner zu kommen ist nun also das Entschlüsselungspasswort zu kennen ODER die Datei für die Entschlüsselung parat zu haben. Dieses Passwort oder die Datei wird der Dieb nicht haben.

Fazit: Der Entwender / Dieb der NAS wird keine Möglichkeit haben an die verschlüsselten Dateien in den verschlüsseltem Ordner zu gelangen.

Sorry aber dann braucht man keine Verschlüsselung.

Somit ist es meiner Meinung nach NICHT sinnlos die verschlüsselten Ordner "automatisch anzuhängen" so wie hier im Forum und auch im Thema (mehrfach) erwähnt wurde. Dies kann in meinem Fall z. B. sehr nützlich sein.

Beste Grüße,
JAY

 

[the other]

Moinsen,
top! Danke fürs Ausprobieren und dranbleiben...

 

[Wollfuchs]

Aeh ... je nachdem was das fuer shares sind.
wenn die encrypted shares nach dem hochfahren eingehaengt werden, ist wichtig, wer read rechte hat.

ein ordner, in dem jeder in der firma lesen duerfte, bedarf keiner anmeldung. Wie der share heisst, sieht man ja in der netzwerkumgebung, ohne admin oder sonstwas zu sein.

das ist zwar ein selten doofer fehler im system aber auch die hatte ich schon gesehen.

nachtrag:
Wurst kaes szenario ..

dieb kommt und klaut nas, pc, laptop, was eben so rumsteht.
dein kumpel hat kein oder unsicheres passwd fuer windows.
Nun mapt sich windows ja immer brav die netzlaufwerke.
keine username/passwd wird benoetigt dafuer.
Dieb baut den kram auf, weil er halt neugierig oder gierig ist
Und die automation oeffnet mehr tueren als notwendig.

kette -> schwaechstes glied und und so .. mir waere das sogar fuer
Privat zu heikel.

du hast ja eine ds .. spiel mal so ein moegliches szenario durch und schau
wie oft und wofuer du wirklich ein user/pass brauchst. Da wird so viel auf
vereinfachung geachtet, dass man auf der anderen seite scheunentore hat.

vor 2 wochen stellte ich fest, das mein brwoser fleissig logins vom onlinebanking speicherte.
klar, mein fehler, irgendwann auf ja geklickt. Macht der gewohnheit und so.

 

[itsmeJAY]

Aeh ... je nachdem was das fuer shares sind.
wenn die encrypted shares nach dem hochfahren eingehaengt werden, ist wichtig, wer read rechte hat.

Wie bereits erwähnt: Nach einem Reset wird da nichts automatisch eingehangen. Bitte meinen oberen Beitrag nochmal lesen. Das war ja u. A Ziel des Tests.

 

[Wollfuchs]

Ja, schon richtig, nur reseted der dieb nicht. Der schaut was seine beute fuer beifang birgt.

 

[itsmeJAY]

Ja gut, dann ist man selber schuld und selten dämlich wenn man Leserechte für jeden freigibt. Das wird bei mir nicht so sein